在进行一些测试时,我意外地撤销了 AD 中某个用户的“经过身份验证的用户”的读取权限,现在我无法再次授予该权限,因为用户是“不可见的”。
我已完成以下操作:
- 打开 MMC/Active Directory 用户和计算机
- 切换到高级视图(查看/高级功能)
- 右键单击用户
- 选择“安全”选项卡
- 点击“经过身份验证的用户”组
- 选择“读取”权限(未选中任何复选框)
- 选中“拒绝”复选框,并确认对话框
该用户在 MMC 中显示为“未知”,现在完全消失了。所以我无法右键单击他来恢复权限 :-)
我尝试了几种工具来恢复访问,但都没有成功。
一些来源指出,这dsacls.exe可用于打印出 ACLS 并将它们恢复为 AD 架构默认值。但是,看起来即使 dsacl 也无法访问该对象。AdFind.exe也找不到它。
用户没有被删除,所以 Sysinternaladrestore.exe也没有用。
用户当前已登录,但无法发送和接收电子邮件 - 它在 Exchange 中也消失了。
我认为我仍然能够枚举用户(我还没有撤销列出子用户的权限)。
我可以重置父 OU 上的权限吗?我担心这会导致此 OU 中的所有用户都拥有相同的权限(我不希望如此)。
有任何想法吗?
我正在使用 Windows 2003 R2 域。
马特拉
答案1
您需要对该用户进行权威恢复。这是修复用户帐户而不影响 OU 中任何其他用户的最有效方法。官方指南如下 -https://technet.microsoft.com/en-us/library/cc779573(v=ws.10).aspx